6 vulnerabilità identificate e risolte — dalla gestione credenziali all'XSS.
Un audit di sicurezza strutturato del portale e della superficie API di Intellixer ha identificato sei problemi su tre livelli di gravità. Tutti sono stati risolti nello stesso sprint.
| ID | Gravità | Descrizione | Soluzione |
|---|---|---|---|
| SEC-001 | ALTA | Credenziali hardcoded in Caddyfile e plist launchd | Iniezione file environment via /etc/intellixer/*.env |
| SEC-002 | ALTA | Campi audit sensibili in chiaro | Cifratura AES-256-GCM a riposo via migrazione DB |
| SEC-003 | ALTA | Null pointer dereference nell'export dati | Null guard aggiunto in data_export.py:108 |
| SEC-004 | MEDIA | Cookie di sessione senza flag HttpOnly | Flag HttpOnly + Secure su tutti gli endpoint di sessione |
| SEC-005 | MEDIA | XSS via valori dashboard non sanitizzati | Pattern data-attribute + event listener; validazione server aggiunta |
| SEC-006 | BASSA | Token CSRF non validato sugli endpoint con stato | Middleware CSRF applicato a tutte le route POST |